Coglici in fallo — ottieni una ricompensa.
Il nostro programma. Accettiamo due tipi di scoperte: vulnerabilità classiche (track A) e confutazioni del nostro report di sicurezza (track B). I livelli di pagamento sono condivisi per entrambi; la ricompensa è accreditata sul tuo saldo della piattaforma.
Dove puoi cacciare.
Nell'ambito
- createyourvpn.com e api.createyourvpn.com
- i tuoi domini della vetrina
- un server di test esplicitamente designato
Fuori ambito
- server e dati dei partner e degli utenti finali
- denial-of-service / stress test
- social engineering, spam, phishing
- accesso fisico
I test attivi sono consentiti solo sull'ambiente di preprod (pp.*), così la caccia non tocca mai i partner attivi né i loro utenti. I problemi che riguardano anche la produzione contano comunque — basta riprodurli sull'ambiente.
Livelli di pagamento.
RCE; accesso ad altri server o a chiavi SSH; bypass dell'autorizzazione; confutazione di un'affermazione SR sulla conservazione delle chiavi
IDOR verso i dati altrui; XSS con hijacking della sessione; confutazione di altre affermazioni SR
XSS con impatto limitato; divulgazione di informazioni interne
note sulle best practice; un header mancante senza exploit
Brevi e oneste.
- Esegui i test attivi solo sull'ambiente di preprod designato (pp.*) — mai contro la produzione né contro i server di partner o utenti.
- La ricompensa va solo al primo segnalatore; i duplicati ricevono un riconoscimento nella hall of fame.
- È richiesto un proof of concept riproducibile; «ti manca l'header X» senza un exploit è hall of fame, non una ricompensa.
- Divulgazione responsabile: 90 giorni di silenzio; rispondiamo entro 72 ore.
- Safe harbor: non perseguiremo la ricerca in buona fede all'interno dell'ambito.
- Testa solo sui tuoi account.
- Fuori ambito: server e dati dei partner e degli utenti, denial of service, social engineering, spam, accesso fisico.
Hai trovato qualcosa?
Invia una segnalazione con un proof of concept riproducibile via email. Puoi trovarci anche tramite il file security.txt sui nostri domini.